Redazione RHC : 23 Giugno 2021 08:00
Se vuoi estorcere milioni di dollari a una grande azienda statunitense, non puoi farlo da solo.
Ci vuole un gruppo. Un gruppo di hacker criminali con competenze informatiche avanzate, che frequentano il Dark Web e molto probabilmente vivono in Russia.
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
“Il ransomware è diventato un enorme business e, come in ogni azienda, per scalarlo, stanno escogitando modelli innovativi”
ha affermato Dmitri Alperovitch, capo del gruppo tecnologico Silverado Policy Accelerator a Washington.
Al vertice di mercoledì scorso a Ginevra, il presidente Biden ha invitato il presidente russo Vladimir Putin a reprimere i crimini informatici e soprattutto quello che si chiama ransomware-as-a-service, che abbiamo raccontato con degli articoli mirati su RHC.
Alperovitch ha affermato che questo modello di ecosistema, include tre attori chiave. Il livello più alto è costituito da piccole bande che creano il sofisticato malware che blocca i sistemi informatici e crittografa i dati presso le aziende mirate.
Si ritiene che più di un centinaio di questi gruppi di sviluppatori di ransomware siano attivi, sebbene Alperovitch stimi che circa una dozzina lo stiano facendo su larga scala. La Russia e i paesi vicini ospitano molte di queste bande, ha detto. I più noti includono DarkSide, accusato dell’attacco a Colonial Pipeline, e REvil, accusato di aver hackerato il fornitore di carne JBS.
Ma, ha aggiunto, “Le persone che stanno costruendo il software non sono in realtà quelle che lo usano. Queste recluteranno i veri artefici delle infezioni”.
Wendi Whitmore, vicepresidente senior della società di sicurezza informatica Palo Alto Networks, ha affermato che questi produttori di malware hanno capito che è più redditizio diffondere il loro software attraverso un secondo gruppo di peraone, noto come gli “affiliati”.
“Quello che stanno facendo è esternalizzare parti della catena di approvvigionamento e poi dare a questi (affiliati) che lavorano con una parte dei profitti”, ha detto.
Gli affiliati fanno una parte del lavoro sporco. avviano l’attacco malware, chiedono poi il riscatto, negoziando con la società vittima e raccogliendo i soldi, quasi sempre in criptovaluta come il Bitcoin.
Di conseguenza, gli affiliati di solito mantengono la maggior parte del denaro, spesso il 75% o anche di più.
Tuttavia, gli affiliati non possono scatenare questi attacchi fino a quando non ottengono l’accesso alla rete informatica di un’azienda.
Questo ci porta al terzo gruppo chiave: gli hacker vecchio stile, o broker di accesso, che trovano un modo per entrare. Se hai bisogno di questi ragazzi, li troverai nel Dark Web.
“Entri nei forum sotterranei e c’è una miriade di gruppi di questa categoria che chiamiamo broker di accesso”, ha affermato Adam Meyers, vicepresidente senior per l’intelligence presso l’azienda di difesa informatica CrowdStrike. “E quello che fanno tutto il giorno è hackerare diverse aziende. E poi rivendere l’accesso alle loro reti. Vuoi dire, azienda X, sono quattromila dollari.”
Un piccolo prezzo da pagare se quell’accesso porta poi a un riscatto multimilionario.
Criminali che si fidano di altri criminali in un ecosistema che funziona alla perfezione.
Naturalmente, tutte queste relazioni richiedono molta fiducia tra i criminali che si nascondono dietro pseudonimi online.
“Come ti fidi di qualcuno che è fondamentalmente è inaffidabile, che è fondamentalmente è un ladro?” disse Alperovich.
“È molto difficile entrare in questi forum criminali. Devi dimostrare di essere un criminale commettendo qualche atto di crimine informatico”, ha aggiunto. “Sanno se sei un agente delle forze dell’ordine. Questo è stato un grosso problema per loro in passato.”
Un’altra potenziale trappola è il successo, o più precisamente, il troppo successo.
I gruppi di ransomware che effettuano ripetutamente grandi rapine sviluppano rapidamente una reputazione. Sebbene gli hacker possano essere protetti vivendo in un paese come la Russia, attirano comunque l’attenzione delle società di sicurezza informatica occidentali e delle forze dell’ordine.
Questi gruppi di successo a volte si sciolgono temporaneamente e si nascondono, solo per riemergere in seguito con un nome diverso.
“Potrebbe essere un nuovo gruppo e una nuova squadra con un nuovo allenatore, ma hanno membri della squadra molto capaci”, ha detto Wendi Whitmore.
In un nuovo rapporto sui costi del ransomware, l’azienda Cybereason ha scoperto che i costi di recupero da un attacco spesso superano di gran lunga il pagamento del riscatto stesso.
Un sondaggio ha rilevato che anche quando gli hacker hanno fornito una “chiave” per sbloccare i dati a seguito di un pagamento di riscatto, le informazioni sono state danneggiate in quasi la metà dei casi. Inoltre, circa i due terzi delle aziende hanno riportato un calo significativo delle entrate a seguito di un attacco.
Al vertice di mercoledì, Biden ha detto che avrebbe risposto se gli Stati Uniti continuassero a essere colpiti, specialmente in un settore critico, come le forniture di energia del sistema idrico. “I paesi responsabili devono agire contro i criminali che conducono attività di ransomware sul loro territorio”, ha affermato Biden in una conferenza stampa subito dopo il vertice.
Gli hacker russi prendono già precauzioni per non colpire le organizzazioni nella loro patria o nei paesi amici. Putin potrebbe dire agli hacker russi di interrompere gli attacchi agli Stati Uniti se lo desidera, ha affermato Alperovitch.
“Non fanno parte della sua cerchia ristretta. Non generano entrate significative per lo stato russo”, ha osservato Alperovitch. “Quindi questo è l’unico problema che, se pressato, Putin può effettivamente cedere e possiamo ottenere alcune concessioni”.
Quindi Putin lo farà?
Biden ha detto che si aspetta che la risposta sia chiara entro pochi mesi.
RedazioneAvevamo già parlato della proposta di regolamento “ChatControl” quasi due anni fa, ma vista la roadmap che è in atto ci troviamo nell’imbarazzo di doverne parlare nuovamente. Sembra però un d...
ShinyHunters è un gruppo noto per il coinvolgimento in diversi attacchi informatici di alto profilo. Formatosi intorno al 2020, il gruppo ha guadagnato notorietà attraverso una serie di attacchi mir...
La notizia è semplice, la tecnologia no. Chat Control (CSAR) nasce per scovare CSAM e dinamiche di grooming dentro le piattaforme di messaggistica. La versione “modernizzata” rinuncia alla backdo...
A cura di Luca Stivali e Olivia Terragni. L’11 settembre 2025 è esploso mediaticamente, in modo massivo e massiccio, quello che può essere definito il più grande leak mai subito dal Great Fir...
Una violazione di dati senza precedenti ha colpito il Great Firewall of China (GFW), con oltre 500 GB di materiale riservato che è stato sottratto e reso pubblico in rete. Tra le informazioni comprom...
